Jump to content
Калькуляторы

DHCP сервер выдает чужие адреса DHCP сервер выдает чужие адреса

Собственно в чем проблема, начинают звонить абоненты:

"- здравствуйте, у меня конфликт IP адреса..."

 

Выясняем мак вредителя, смотрим логи dhcp сервера...

 

Nov 16 11:48:17 ns dhcpd: DHCPDISCOVER from 00:30:1b:42:83:ef via 172.16.13.1
Nov 16 11:48:17 ns dhcpd: DHCPOFFER on 172.16.13.67 to 00:30:1b:42:83:ef via 172.16.13.1
Nov 16 11:48:17 ns dhcpd: DHCPREQUEST for 172.16.13.88 (192.168.0.250) from 00:30:1b:42:83:ef via 172.16.13.1: lease 172.16.13.88 unavailable.
Nov 16 11:48:17 ns dhcpd: DHCPNAK on 172.16.13.88 to 00:30:1b:42:83:ef via 172.16.13.1

 

Соответственно сервер выдает адрес, клиент почему-то его игнорирует и запрашивает чужой, на что сервер сначала говорит мол фиг, занято, а потом спокойно подтверждает. С чем это может быть связано?

 

Данная проблема в нашей сети уже встречалась, в другом сегменте, при том проблема была практически у всех обитателей сегмента. адреса раздавались как попало и кому попало, но по примеру приведенного выше лога. В прошлый раз проблема как появилась так и пропала, сама по себе. Может ли это быть как-то связано с оборудованием? Или вирье?

 

Спасибо за внимание

Share this post


Link to post
Share on other sites

DHCPNAK - это не отказ сервера выдать адрес?

У вас нету клиентов, прописавших себе адреса статикой? Похоже на это.

Share this post


Link to post
Share on other sites

нет, адреса выдаются по DHCP специально созванивались уточняли, после ребута обоих компов все вдруг чудесным образом ожило, походая ситуация с другими клиентами, кому-то маска кривая выдалась, после ребута стало нормально

Свитчи которые релеят DHCP - Dlink DES-3828

 

если бы было статикой. то и логов бы не было

Edited by Beast_v

Share this post


Link to post
Share on other sites
Вирус это.
Мм, а что за вирус если не секрет? в последний раз когда у нас такое было, баговал абослютно весь сегмент, само собой что у ВСЕХ вируса быть не может.

или хотяб по каким ключам искать

Edited by Beast_v

Share this post


Link to post
Share on other sites

Помоему ХР запрашивает аренду по ДХЦП адрес который прописан в альтернативной конфигурации.

Share this post


Link to post
Share on other sites

Вчера вылезла такая же проблема.

Выдатся чужие адреса, а если адрес свой, то маска кривая.

IP адрес dhcp сервера выдавшего инфу клиенту - реальный.

Перезагрузки не помогают.

Куда копать? Подскажите.

 

Share this post


Link to post
Share on other sites
DHCPNAK - это не отказ сервера выдать адрес?

У вас нету клиентов, прописавших себе адреса статикой? Похоже на это.

DHCPNAK - это отказ dhcp сервера выдать адрес, если он посчитает, что в запросе клиента есть некорректные данные.

Share this post


Link to post
Share on other sites

Вирус этот уже не раз видели на своей сети. Всё хитро задумано. Вирус инфицирует машину, смотрит айпишник, маску, и адрес dhcp сервера который выдал айпишник инфицированой машине. Затем вирус начинает раздавать айпишники самостоятельно исходя из известныйх айпишников и масок(тут, кстати, есть ошибка в расчетах вирусописателя), важный признак - ДНСы он выдает левые. В самом DHCP пакете вирус указывает что dhcp сервер который выдал айпишник "такой-то", указывает он естественно айпи "правильного" сервера.

Может быть немного сумбурно объяснил. Возьмите wireshark и посмотрите у клиента траффик - все стяенет ясно.

Share this post


Link to post
Share on other sites
Вирус этот уже не раз видели на своей сети. Всё хитро задумано. Вирус инфицирует машину, смотрит айпишник, маску, и адрес dhcp сервера который выдал айпишник инфицированой машине. Затем вирус начинает раздавать айпишники самостоятельно исходя из известныйх айпишников и масок(тут, кстати, есть ошибка в расчетах вирусописателя), важный признак - ДНСы он выдает левые. В самом DHCP пакете вирус указывает что dhcp сервер который выдал айпишник "такой-то", указывает он естественно айпи "правильного" сервера.

Может быть немного сумбурно объяснил. Возьмите wireshark и посмотрите у клиента траффик - все стяенет ясно.

Видимо все сайты делаются парнушными и с вирус эксплоитами после такого...

Нада на инет шлюзе прозрачно заворачивать все днс запросы на себя, не русорсоёмко и проблемы никто не заметит...

 

А мак он в пакетах дхцп тоже подменяет?

Share this post


Link to post
Share on other sites

подскажите что за вирус, столкнулся с подобной проблемой.

Share this post


Link to post
Share on other sites

Видел этот вирус в сети, благо на 90% доступа стоят DES-3526 и левые DHCP успешно блркируются ACL-ками, DHCP ответ может придти только с магистрали.

53 порт наружу закрывать не хочется ибо бывает что нужно nslookup у внешнего сервера спросить, а так бы закрыл нафиг.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this